ARP網(wǎng)絡(luò)攻擊的分析與解決辦法

周衛(wèi)紅

摘 要 近年來對(duì)局域網(wǎng)造成巨大安全威脅的主要因素就是ARP欺騙，本文分析了ARP協(xié)議的工作原理以及ARP欺騙原理，并在此基礎(chǔ)上，通過對(duì)ARP協(xié)議分析及ARP欺騙分析，提出了幾種快速、有效防范ARP欺騙的措施以及技術(shù)實(shí)現(xiàn)要點(diǎn)。

關(guān)鍵詞 局域網(wǎng) ARP協(xié)議 ARP欺騙 防范措施

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

本文主要介紹、分析了ARP欺騙的基本原理，討論了由此引發(fā)的網(wǎng)絡(luò)安全問題，提出了切實(shí)可行的解決問題的思路。

1 ARP的相關(guān)知識(shí)

1.1 ARP協(xié)議的工作原理

ARP協(xié)議工作在TCP/IP協(xié)議的網(wǎng)絡(luò)互聯(lián)層，每臺(tái)安裝有TCP/IP協(xié)議的電腦里都有一個(gè)ARP高速緩存，里面存放計(jì)算機(jī)目前知道的局域網(wǎng)上各主機(jī)和路由器的IP地址到MAC地址的映射表，每個(gè)IP地址和MAC地址是一一對(duì)應(yīng)的。ARP緩存表可以查看、添加和修改，在Windows操作系統(tǒng)命令行窗口下，輸入“arp-a”就可以查看。用“arp-d”命令可以刪除ARP表中某一行的內(nèi)容；用“arp-s”可以手動(dòng)在ARP表中指定IP地址與MAC地址的對(duì)應(yīng)。

1.2 ARP協(xié)議存在的設(shè)計(jì)缺陷

ARP協(xié)議不可避免的存在著設(shè)計(jì)缺陷，其缺陷表現(xiàn)在以下方面：

（1）主機(jī)ARP高速緩存依據(jù)接收到的ARP協(xié)議包進(jìn)行動(dòng)態(tài)更新。因此正常的主機(jī)間MAC地址刷新都是有時(shí)限的，假冒者正是利用更新數(shù)據(jù)前的時(shí)段成功地修改被攻擊機(jī)器上的地址緩存進(jìn)行假冒或拒絕服務(wù)攻擊。

（2）ARP協(xié)議沒有連接的概念，局域網(wǎng)內(nèi)的任意主機(jī)在沒有ARP請(qǐng)求時(shí)也可以做出應(yīng)答。許多系統(tǒng)都會(huì)接受未請(qǐng)求的ARP響應(yīng)，并用虛假信息篡改其緩存，這是ARP協(xié)議的一大安全隱患。

（3）ARP協(xié)議沒有認(rèn)證機(jī)制，只要接收到的協(xié)議包是有效的，主機(jī)就無條件的根據(jù)協(xié)議包的內(nèi)容自動(dòng)更新本機(jī)ARP緩存，并不檢查該協(xié)議包的合法性，這種對(duì)局域網(wǎng)內(nèi)主機(jī)完全信任的策略，給局域網(wǎng)的安全埋下隱患。

1.3 感染ARP病毒網(wǎng)絡(luò)癥狀

在局域網(wǎng)內(nèi)，攻擊源主機(jī)不斷發(fā)送ARP欺騙報(bào)文，會(huì)使其他主機(jī)上網(wǎng)斷斷續(xù)續(xù)，嚴(yán)重時(shí)將致使整個(gè)網(wǎng)絡(luò)陷于癱瘓。

2 常見ARP欺騙形式

（1）一般冒充欺騙

這是一種比較常見的攻擊，通過發(fā)送偽造的ARP包來實(shí)施欺騙根據(jù)欺騙者實(shí)施欺騙時(shí)所處的立場(chǎng)，可分為三種情況：冒充網(wǎng)關(guān)欺騙主機(jī)、冒充主機(jī)欺騙網(wǎng)關(guān)、冒充主機(jī)欺騙其他主機(jī)。在冒充網(wǎng)關(guān)欺騙中，欺騙者定時(shí)且頻繁的對(duì)本網(wǎng)發(fā)送ARP廣播，告訴所有網(wǎng)絡(luò)成員自己就是網(wǎng)關(guān)，或者以網(wǎng)關(guān)身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙局域網(wǎng)內(nèi)的其他主機(jī)，這樣子網(wǎng)內(nèi)流向外網(wǎng)的數(shù)據(jù)就可以被攻擊者截??；冒充主機(jī)欺騙網(wǎng)關(guān)的過程跟冒充網(wǎng)關(guān)的過程相反，欺騙者總是通過虛假報(bào)文告訴網(wǎng)關(guān)，自己就是目標(biāo)主機(jī)，從而使網(wǎng)關(guān)向用戶發(fā)送的數(shù)據(jù)被攻擊者截取；冒充主機(jī)欺騙其他主機(jī)則是同一網(wǎng)內(nèi)設(shè)備間的欺騙，攻擊者以正常用戶的身份偽造虛假ARP回應(yīng)報(bào)文，欺騙其他主機(jī)，結(jié)果是其他用戶向該用戶發(fā)送的數(shù)據(jù)全部被攻擊者截獲。

（2）虛構(gòu)MAC地址欺騙

這種攻擊也是攻擊者以正常用戶身份偽造虛假的ARP回應(yīng)報(bào)文，欺騙網(wǎng)關(guān)。但是，和上述一般冒充欺騙不同的是，此時(shí)攻擊者提供給網(wǎng)關(guān)的MAC地址根本不存在，不是攻擊者自己的MAC地址，這樣網(wǎng)關(guān)發(fā)給該用戶的數(shù)據(jù)全部被發(fā)往一個(gè)不存在的地方。

（3）ARP泛洪

這是一種比較危險(xiǎn)的攻擊，攻擊者偽造大量虛假源MAC和源IP信息報(bào)文，向局域網(wǎng)內(nèi)所有主機(jī)和網(wǎng)關(guān)進(jìn)行廣播，目的就是令局域網(wǎng)內(nèi)部的主機(jī)或網(wǎng)關(guān)找不到正確的通信對(duì)象，甚至直接用虛假地址信息占滿網(wǎng)關(guān)ARP緩存空間，造成用戶無法正常上網(wǎng)。同時(shí)網(wǎng)絡(luò)設(shè)備CPU居高不下，緩存空間被大量占用。由于影響到了網(wǎng)絡(luò)設(shè)備，攻擊者自己上網(wǎng)的效率也很低，這是一種典型的損人不利己行為。

3 ARP欺騙鑒定方法

（1）檢查內(nèi)網(wǎng)

感染“ARP欺騙”木馬病毒的計(jì)算機(jī)在“命令提示符”下輸入并執(zhí)行“ipconfig”命令，記錄網(wǎng)關(guān)IP地址，即“Default Gateway”對(duì)應(yīng)的值，例如“192.168.18.1”。然后執(zhí)行“arp-a”命令查看自己網(wǎng)關(guān)MAC地址，如若變成和內(nèi)網(wǎng)一機(jī)器MAC地址相同，可據(jù)此斷定內(nèi)網(wǎng)有機(jī)器中了ARP網(wǎng)關(guān)欺騙型病毒。本操作前提是知道網(wǎng)關(guān)的正確MAC地址，可在正常上網(wǎng)主機(jī)上，使用“arp-a”命令查看網(wǎng)關(guān)MAC地址，通過對(duì)比查看網(wǎng)關(guān)MAC地址是否被修改。

（2）查看ARP表

用三層設(shè)備接入局域網(wǎng)的單位，網(wǎng)管可以檢查其三層設(shè)備上的ARP表。如果有多個(gè)IP對(duì)應(yīng)同一個(gè)MAC，則此MAC對(duì)應(yīng)的計(jì)算機(jī)很可能中了木馬病毒。可通過下連二層交換機(jī)的轉(zhuǎn)發(fā)表查到此MAC對(duì)應(yīng)的交換機(jī)端口，從而定位有問題的計(jì)算機(jī)。

4 ARP欺騙的防范措施

（1）系統(tǒng)補(bǔ)丁升級(jí)

全網(wǎng)所有的電腦都打上微軟ARP官方補(bǔ)丁，這樣可以免疫絕大多數(shù)網(wǎng)頁(yè)木馬，防止在瀏覽網(wǎng)頁(yè)的時(shí)候感染病毒。

（2）禁用系統(tǒng)的自動(dòng)播放功能

防止病毒從U盤、移動(dòng)硬盤、MP3等移動(dòng)存儲(chǔ)設(shè)備進(jìn)入計(jì)算機(jī)。禁用Windows系統(tǒng)的自動(dòng)播放功能：在運(yùn)行中輸入gpedit.msc后回車，打開組策略編輯器，依次點(diǎn)擊：計(jì)算機(jī)配置->管理模板->系統(tǒng)->關(guān)閉自動(dòng)播放->已啟用->所有驅(qū)動(dòng)器->確定。

（3）靜態(tài)綁定

最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機(jī)和網(wǎng)關(guān)都做IP和MAC綁定。欺騙是通過ARP的動(dòng)態(tài)實(shí)時(shí)的規(guī)則欺騙內(nèi)網(wǎng)機(jī)器，所以我們把ARP全部設(shè)置為靜態(tài)可以解決對(duì)內(nèi)網(wǎng)PC的欺騙，同時(shí)在網(wǎng)關(guān)也要進(jìn)行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險(xiǎn)。